我想创建访问权限受到相当限制的Azure密钥库(我们的一个或两个应用程序)。我已经通过Azure门户创建了密钥保管库,但是当我查看“访问控制”部分时,我发现几个应用程序和用户都具有密钥保管库的“贡献者”角色(从订阅中继承),这为他们提供了比他们应该有。
由于订阅是可以设置访问控制的最高级别,因此我无法在不取消订阅级别的情况下撤消对这些应用程序/用户的访问,这可能会引起各种问题。 (尚不清楚这些权限需要什么权限,因此必须在资源组或资源级别授予这些权限会有些痛苦)。而且,没有什么可以阻止后来来的人在订阅级别添加贡献者角色的(例如,对于某些新应用而言),也不会破坏密钥库的安全性。
因此,请牢记所有这些,最好的方法是限制对天蓝色密钥保险库的访问,以便尽管有多个应用程序/用户已经拥有我想要的应用程序/用户才能访问它订阅级别有这些权限?
更多信息:我们正在使用Azure资源管理器模型,当前所有内容都存储在一个订阅中。
答案 0 :(得分:1)
您似乎无法通过RBAC的工作方式实现这一目标。
以下是在反馈论坛-https://feedback.azure.com上运行的几个反馈请求。一种是用于Key Vault,另一种是用于存储帐户的示例,但本质上是在寻找相同的功能来覆盖继承的权限。
您可能希望对这些请求投赞成票。
Deny users with inherited permissions to Azure Key Vault Service from modifying Access Policies
Exclude / override RBAC permissions inhereted from a subscription at a resource group level
更新(以回答评论中的其他查询):
首先不授予订阅级别的访问权限( 管理员)
是的,这肯定会有所帮助。
另一建议是尝试使用资源组来组织资源,然后在这些资源组上分配角色(范围)。这样,您无需授予对单个项目的访问权限,但是与此同时,您可以避免授予最高订阅级别的访问权限。